S3のアクセス元VPCエンドポイントを限定し、セキュアにしよう!
前回は、S3のアクセス元VPCの設定でしたが、今回はアクセス元VPCエンドポンとの設定について紹介します。
JSON形式のバケットポリシーはほぼ同じ記述です。
S3へのアクセス元VPCの設定を限定する方法は以下のページで紹介しています。
S3のバケットポリシー:アクセス元VPCエンドポイントを限定する設定
"Statement": [
{
"Sid": "Access-to-specific-VPCE-only",
"Principal": {
"AWS": "arn:aws:iam::Account-ID:user/IAM-username"
},
"Action": "s3:*",
"Effect": "Deny",
"Resource": ["arn:aws:s3:::S3バケット名",
"arn:aws:s3:::S3バケット名/*"],
"Condition": {
"StringNotEquals": {
"aws:sourceVpce": " VPCE-ID "
}
}
}
]Principalの「”AWS”: “arn:aws:iam::Account-ID(12桁):user/IAM-username”」は、Account-IDが「123456789012」、IAM-username「test」であれば、以下になります。
「”AWS”: “arn:aws:iam::123456789012:user/test”」
Resourceの「”arn:aws:s3:::S3バケット名”」は、S3バケット名が「bucket-test」であれば、以下になります。
「arn:aws:s3:::bucket-test」
Conditionの「”aws:sourceVpce”: “VPCE-ID”」は、VPCE-IDが「vpce-2f09a348」であれば、以下になります。
「”aws:sourceVpce”: “vpce-2f09a348″」
まとめ
・S3のアクセス元VPCエンドポイントの限定をすることが可能
・S3のアクセス元VPCエンドポイントの限定にはJSON形式のバケットポリシーの設定が必要
コメント